人工智能( AI )被視為有效提高網絡安全的技術之一,最近網絡安全方案供應商 Barracuda 發表文章說明 AI 的實際效能。該公司指出,在今年上半年, AI 模式分析幫助 Barracuda Managed XDR 偵測並消除共近萬億 IT 事件中的數千個高風險事件,反映 AI 成為強大的安全工具。
報告指出,今年上半年三大最常見的高風險偵測(要立即採取防禦行動的威脅)包括:
1. 偵測「異常連線登入」:此情況會在用戶嘗試從兩個不同地理位置的地方快速登入雲帳戶時發生,而登入時間的差距無法掩飾地理上的距離。雖然這有可能是用戶進行其中一次登入時在使用 VPN,但通常表示黑客已取得相關帳戶的存取權限。
根據 Barracuda SOC 團隊調查的一宗事件顯示,有用戶從美國加州登入其 Microsoft 365 帳戶,僅 13 分鐘後便從維珍尼亞州再次登入,在實際情況下沒可能於超短時間內身在異地登入。而從維珍尼亞登錄的 IP 並非來自已知的 VPN 地址,該用戶通常不會從事發位置登入。最後用戶確認涉事登入未經其授權,立即重置密碼,以及從所有活躍帳戶中註銷惡意用戶。
2. 「異常狀況」檢測:這些檢測可識別用戶帳戶中的異常或意外活動,包括罕見或單次登入、不尋常的文件存取模式、為個人用戶或機構建立過多帳戶等。此類檢測可能是多種問題的徵兆,包括惡意軟件感染、網絡釣魚攻擊以及內部威脅。
3. 與已知惡意軟件通訊:這類偵測用作識別需予警告或已知為惡意 IP 地址、地域或文件的通訊。這可能是惡意軟件感染或網絡釣魚攻擊的跡象,用戶應立即將涉事電腦隔離。
Barracuda SOC 進攻型安全總監 Merium Khalid 表示:「每個人都有獨特的數碼檔案,涉及工作方式、地點和時間,如果 IT 事件超出這些模式範圍,AI 偵測後就會觸發警報。」
她亦提醒,雖然 AI 可以大幅增強保安,同時也可用於惡意目的,例如建立極容易令人信服的電郵,或使用惡意代碼以適應特定目標或改變安全條件。為保護機構和員工免受發展迅速、日益聰明的攻擊策略侵害,用戶需要深入、多層次的保安,包括使用更強的身分驗證措施、定期作員工培訓和更新軟件,並以跨網絡、應用程式和服務端點的全面可視性和持續監控為保安基礎。